Commentaires : Mettez à jour Firefox tout de suite, une faille critique est exploitée

navigateur
Firefox
Mozilla
Sécurité
Tags: #<Tag:0x00007f920ca38c98> #<Tag:0x00007f920ca38b58> #<Tag:0x00007f920ca38a18> #<Tag:0x00007f920ca388d8>

#1

Vous avez mis à jour Firefox pour bénéficier des toutes dernières fonctionnalités du navigateur, comme le mode « picture in picture » pour macOS et Linux, le blocage par défaut des notifications des sites et la protection accrue contre le pistage ? Si c’est le cas, vous avez bien fait : outre ces ajouts, Firefox 72 résout en plus une série de vulnérabilités, dont certaines ont été classées comme sérieuses. Le nouveau logo de la marque Firefox. // Source : Mozilla Une faille critique exploitée….

Par Julien Lausson
Revenir à l’article


#2

Il serait utile de savoir depuis qu’elle version de Firefox cette faille est présente.


#3

Le site de Debian liste les versions vulnérables:
https://security-tracker.debian.org/tracker/CVE-2019-17026

En principe, Firefox se met à jour tout seul, tout du moins c’est le cas sur toutes les distributions sérieuses, et même sur Windows, Firefox va chercher lui-même ses mises à jour.

Par contre, il existe des environnements (surtout en entreprise) où des apprentis sorciers “admin” ont bloqué les mises à jour automatiques des navigateurs, et où les gens continuent d’utiliser des versions antiques…

Dans tous les cas, je vous recommande d’utiliser “uBlock Origin” de Raymond Hill et “NoScript” de Giorgio Maone. Ces deux extensions libres vous permettent d’éviter de nombreuses nuisances sur le web et aussi des gaspillages de bande passante.


#4

En environnement de prod, l’apprenti sorcier, c’est le mec qui laisse tourner des mises à jour automatiques, sans aucun contrôles des différents logiciels…

La maitrise, la stabilité du système et sa sécurité sont menacés avec des logiciels qui se modifient tout seul (ou pire, le reste de l’environnement) sans que cela soit testé et validé


#5

Ouais on connaît les soit-disant “contrôles” des admins: ils ouvrent les vannes pour un Windows Update le WE et la moitié des postes à réinitialiser le lundi car ils ne se connectent même plus au réseau local. :laughing:

Je ne dis pas qu’il ne faut pas tester et valider bien au contraire. Mais soit on fait des mises à jour régulièrement et rapidement après un véritable test sur des VDI de référence avant un déploiement, soit on veut parler de maîtrise du SI et alors on contrôle aussi le code source de toutes les mises à jour (avec l’éventuelle aide d’auditeurs), soit on déconnecte tout, mais interdire pendant des mois des mises à jour de sécurité d’un logiciel qui est déployé en production pour une soit-disant “maîtrise, stabilité, sécurité” c’est juste un grand foutage de gueule.

On ne laisse pas un système vulnérable ouvert vers l’extérieur. Un logiciel ne se modifie pas tout seul. C’est un éditeur qui propose un support et des mises à jour via un programme de mise à jour, ou alors, des vulnérabilités comme celle de l’article seront exploitées à grande échelle par des tiers qui n’auront pas des intentions bienveillantes. Ne pas appliquer les mises à jour ou tarder, c’est irresponsable et c’est exposer le système d’informations à des menaces extérieures.

Dans certaines grandes structures, les tests et validations (projets qui s’étendent sur des décennies) sont la raison pour laquelle Windows XP, Solaris, étaient encore en production bien après leur “end of support”, et c’est la même raison qui explique que cette saleté de daube de IE6 existe encore sur des postes ouverts vers l’extérieur.


#6

je ne sais pas du tout


#7

mercide votreaide